정보보호 리스크 관리사(ISRM) 시험 1과목부터 5과목까지 — ISO 27001·NIST RMF 연계 핵심 용어·위험관리 프레임워크·기출 유형을 전문가가 상세히 정리했습니다.
독학 기준 · 약 6주 과정 · CBT 응시
시험 구조 파악 (1~2일)
ISRM은 4지선다 80문제, 90분, 과목별 40% + 총점 60점 이상이 합격 기준입니다. CBT 방식으로 시험 당일 즉시 성적 확인이 가능합니다. 5과목 문제 수(20·20·20·10·10)와 출제 비율을 먼저 파악하세요.
위험관리 프레임워크 이해 (3~5일)
ISO 27001(정보보안 관리체계)과 NIST RMF(위험관리 프레임워크) 기본 구조를 먼저 이해합니다. PDCA 사이클, 위험 식별→평가→대응→모니터링 흐름을 잡으면 전 과목의 맥락이 연결됩니다.
핵심 개념·용어 정리 (1주)
위험·위협·취약점의 차이, 위험 처리 전략 4가지(수용·회피·전가·감소), 정량적·정성적 위험평가 방법론을 정확히 구분합니다. ALE·SLE·ARO 공식은 반드시 암기하세요.
기출 유형 풀이 (2주)
1~3과목(25% 비율)을 집중적으로 풀이합니다. 특히 2과목(위험평가)은 계산 문제와 사례 적용 문제가 혼합됩니다. PassFi AI 분석으로 개인별 취약 과목을 파악하여 집중 학습합니다.
최신 시사 보안 트렌드 대비 (상시)
랜섬웨어(LockBit·CL0P), 공급망 공격(SolarWinds·3CX), 클라우드 침해 사례가 자주 출제됩니다. PassFi 매일 시사 문제로 최신 사례를 학습하세요.
모의고사 & 약점 보완 (1주)
80문제 90분 실전 모의고사를 통해 시간 배분을 연습합니다. 과목별 40% 기준 미달 과목을 집중 보완하고, CBT 인터페이스에 익숙해지는 것이 중요합니다.
국제 정보보안 관리체계 표준. PDCA 기반. 부속서 A 93개 통제.
미국 연방기관 위험관리 프레임워크. 7단계 프로세스.
정보보호 위험관리 상세 가이드. 위험평가 방법론 제공.
KISA 주관. 102개 통제 항목. 의무 대상 법정 인증.
과목별 핵심 용어 · 관련 표준 · 기출 유형 · 공부 팁
과목 1
위험관리 전략 수립, 범위 정의, 자산 식별, 보안 정책·지침 수립을 다룹니다. 위험관리의 전체 프레임워크(ISO 27001·NIST RMF)를 이해하는 과목입니다.
위험관리 계획
조직의 정보보호 목표, 위험관리 범위, 역할·책임, 의사소통 방법, 위험 수용 기준 등을 포함한 문서. ISO 27001의 위험평가 계획에 해당
위험 수용 기준
조직이 허용 가능한 위험 수준(임계값)을 사전에 정의한 기준. 이 기준을 초과하는 위험은 반드시 대응 조치가 필요함
자산 식별
정보자산(하드웨어·소프트웨어·데이터·서비스·인프라·인원)을 목록화하고 책임자를 지정하는 과정. 자산 가치 평가의 전제 조건
보안 정책 체계
정보보호 정책(최상위) → 지침(분야별) → 절차(작업별) 3계층 구조. 경영진 승인 및 정기 검토 필요
NIST RMF
미국 국립표준기술연구소의 위험관리 프레임워크. 준비→분류→선택→구현→평가→인가→모니터링 7단계. SP 800-37 기반
과목 2
5과목 중 체감 난이도가 가장 높은 과목입니다. 자산 가치 평가, 위협·취약점 분석, 위험 산정 방법론(정량적·정성적)을 정확히 이해해야 합니다.
위험(Risk)
위협이 취약점을 이용해 자산에 미치는 영향의 가능성. 위험 = 자산 가치 × 위협 × 취약점. 기밀성·무결성·가용성 침해 가능성과 영향도의 조합
위협(Threat)
자산에 손상을 줄 수 있는 잠재적 원인. 자연적(재해·화재), 인위적(해킹·내부자), 환경적(전력 차단·온도) 위협으로 분류. 위협 행위자(Threat Actor)와 구분
취약점(Vulnerability)
위협에 의해 악용될 수 있는 자산·시스템의 약점. 기술적(패치 미적용·설정 오류)·관리적(교육 부족·절차 미흡)·물리적(출입 통제 부재) 취약점으로 분류
정량적 위험평가
금전적 수치로 위험을 측정. 연간 예상 손실(ALE = SLE × ARO) 계산. 객관적이나 자산 가치 산정이 어려운 단점. 예: CRAMM, RiskCalc
정성적 위험평가
언어적 척도(상·중·하 또는 5점 척도)로 위험을 평가. 직관적이나 주관적. 예: 위험 매트릭스, FMEA. 대부분 국내 기업이 채택
과목 3
위험 처리 전략(수용·회피·전가·감소)과 보안 통제 선택·구현을 다룹니다. ISO 27001 부속서 A의 93개 통제 항목 이해가 핵심입니다.
위험 처리 전략 4가지
①수용(위험 기준 이하·비용 대비 효과 없을 때) ②회피(활동 중단·전환) ③전가(보험·외주) ④감소(통제 구현으로 위험 수준 감소). ISO 27001은 "처리"라는 용어 사용
보안 통제(Control)
위험을 감소시키기 위한 조치. 예방·탐지·교정 통제로 분류. 기술적(방화벽·암호화·IPS)·관리적(정책·교육·감사)·물리적(CCTV·출입통제) 통제
ISO 27001:2022 부속서 A
93개 정보보호 통제 항목을 4개 영역(조직·사람·물리·기술)으로 재편. 2013년 판 대비 11개 신규 항목(위협 인텔리전스, 클라우드 보안 등) 추가
잔여 위험(Residual Risk)
통제 적용 후에도 남아 있는 위험. 모든 위험을 제거할 수 없으므로 잔여 위험에 대해 경영진이 수용 여부를 결정해야 함
위험 처리 계획(RTP)
선택한 통제의 구현 일정·책임자·비용·우선순위를 포함한 문서. ISO 27001 6.1.3에서 요구. 적용 가능성 진술서(SoA)와 함께 작성
과목 4
ISMS-P 운영, 내부 감사, 경영진 검토, 지속적 개선 프로세스를 다룹니다. PDCA 사이클과 ISO 27001 인증 절차를 이해하면 쉽게 접근할 수 있습니다.
PDCA 사이클
Plan(계획수립) → Do(운영) → Check(모니터링·검토) → Act(개선). 정보보호 관리체계의 지속적 개선 원칙. ISO 27001의 핵심 방법론
내부 감사
조직이 스스로 ISMS 요구사항 충족 여부를 평가하는 활동. 계획된 주기로 실시. 감사원 독립성 보장 필요(자신의 업무 감사 금지)
경영진 검토
최고경영진이 ISMS의 지속적 적합성·충분성·효과성을 검토하는 활동. 연 1회 이상 실시. 검토 결과는 문서화 및 보존 의무
ISMS-P 인증
한국인터넷진흥원(KISA) 인증. 의무 대상(정보통신서비스 매출 100억 이상 또는 이용자 100만명 이상 등). ISMS 80개 + P(개인정보) 22개 = 102개 통제 항목
부적합(Nonconformity)
요구사항 미충족 상태. 발견 시 시정조치(Corrective Action) 실시 의무. 근본 원인 분석 → 시정조치 → 효과성 검토 프로세스
과목 5
기술적·관리적·물리적 대책, 공급망 보안, 클라우드 보안, OT(운영기술) 보안을 다룹니다. 최근 랜섬웨어·공급망 공격 사례 기반 시사형 문제 비중이 높습니다.
기술적 대책
방화벽·IDS/IPS·백신·DLP·암호화·MFA·SIEM 등 기술 수단으로 보안을 강화하는 대책. 예방·탐지·대응·복구 목적에 따라 선택
공급망 보안(Supply Chain Security)
제3자(공급업체·파트너·외주)를 통한 보안 위험 관리. SolarWinds·3CX 사례처럼 소프트웨어 공급망 공격이 증가. ISO 27001:2022 신규 추가 항목
클라우드 보안
CSP(클라우드 서비스 제공자)와 클라우드 고객 간 공동 책임 모델(Shared Responsibility Model). IaaS·PaaS·SaaS별 책임 분배 이해 필요
OT/ICS 보안
제조·에너지·교통 등 운영기술 환경의 보안. IT 보안과 달리 가용성이 최우선. IEC 62443 표준 적용. 에어갭(Air-gap) 환경의 한계
BCP/DRP
업무연속성계획(BCP): 재해 발생 시 핵심 업무 지속. 재해복구계획(DRP): IT 시스템 복구. RTO(복구목표시간)·RPO(복구목표시점)·MTD(최대허용중단시간) 개념
정량적 위험평가의 핵심 공식입니다. 계산 문제로 자주 출제됩니다.
SLE (단일 예상 손실)
SLE = 자산 가치 × EF
EF: 노출 계수(Exposure Factor). 위협 발생 시 손실 비율 (0~1)
ARO (연간 발생 빈도)
ARO = 연간 예상 발생 횟수
예: 2년에 1회 = ARO 0.5 / 매월 1회 = ARO 12
ALE (연간 예상 손실)
ALE = SLE × ARO
보안 투자 결정의 기준. ALE > 대책 비용이면 투자 효과 있음
계산 예시
서버 자산 가치 1억원, EF = 0.3 (30% 손실), ARO = 0.5 (2년에 1회 해킹)
SLE = 1억 × 0.3 = 3,000만원
ALE = 3,000만원 × 0.5 = 1,500만원
→ 연간 보안 투자가 1,500만원 이하이면 투자 효과 있음
자산 가치 평가, ALE 계산, 정량적·정성적 방법론 구분, 위험 우선순위 결정 등 다양한 유형의 문제가 출제됩니다. 특히 ALE = SLE × ARO 공식 계산과 위협·취약점·위험의 개념 구분이 혼동되기 쉽습니다.
①수용: 위험이 허용 기준 이하이거나 대책 비용 > 기대 손실. ②회피: 위험이 너무 커서 해당 활동 중단. ③전가: 보험·외주로 제3자에게 이전. ④감소: 통제 구현으로 발생 가능성·영향도 감소. 실무에서는 주로 감소를 선택하고 잔여 위험을 수용·전가합니다.
ISO 27001은 국제 인증 표준으로 PDCA 기반 ISMS 구축·운영에 초점을 맞춥니다. 부속서 A에 93개 통제 항목을 제시합니다. NIST RMF는 미국 연방기관 중심의 7단계 위험관리 프레임워크로, 시스템 분류→통제 선택→구현→평가→인가→모니터링 단계로 진행됩니다.
ISRM은 ISMS-P 심사원으로의 커리어패스에 유용한 기초 자격증입니다. ISMS-P 선임심사원 응시에는 별도의 정보보호 실무 경력과 교육 이수가 필요합니다. ISRM → CPPG → ISMS-P 심사원 순으로 취득하면 개인정보보호·정보보안 전문가 경로를 완성할 수 있습니다.
과목별 AI 취약점 분석 · 합격 예측
랜섬웨어·공급망 공격 등 최신 시사형 문제 매일 업데이트